亚马逊开发者审计 - 审计启动 SPAPI审计

今年收到了德勤历史第二次的抽查审计，首先会收到一份以下邮件，收到邮件后不要慌，我们要及时回复邮件，并告知我们已经收到并随时准备协助配合审计。

审计Email内容如下

尊敬的 ****limited：

亚马逊定期对有权访问销售合作伙伴 API (SP-API) 的组织进行审计，以确保组织正确使用和保护亚马逊数据.

作为该流程的一部分，贵组织已被选中接受开发者审计，以审查您对《亚马逊开店服务 API 开发者协议》、《数据保护政策》和《可接受使用政策》中列出的数据安全与合规义务的遵守情况



请注意，开展安全审计是我们为评估开发者是否按照我们的要求和适用法律处理亚马逊卖家和买家数据而制定的多种权利、流程和保护措施之一。此外，如果开发者未遵守《亚马逊开店服务 API 开发者协议》、《数据保护政策》和《可接受使用政策》中规定的审计流程，亚马逊保留采取某些强制行动的权利。

本次审计评估将由 Deloitte & Touche LLP 完成。他们审计团队的代表将很快与您联系，安排电话会议以详细讨论审计流程，包括后续步骤，并回答您可能就流程提出的问题。

您的支持与配合对于确保高效、成功的审计至关重要。感谢您在我们努力维护和改善集体数据安全性的过程中所提供的帮助。

帮助您为审计流程做好准备的资源：
1。随函附上一份 PDF，其中提供了有关在此过程中预期内容的更多详细信息。
2。视频资源：打开链接
3。SP-API 技术论文：打开链接
4。安全审计：最佳实践和就绪性博客文章：打开链接

此致，
亚马逊开店服务 API 团队

附件审计流程内容：

了解服务和流程概况。了解网络架构，以及整个环境中的数据 流。

1.业务和系统概况

2安全治理

• 策略管理，

• 风险与合规监管管理，

• 隐私监管管理，

• 第三方风险管理

3基础设施安全性

• 数据存储

• 资产管理和资产的安全性控制

• 资产基线配置

• 资产销毁

• 反恶意软件控制措施

4数据保护

• 用于保护数据的工具

• 静态数据与传输中数据加密协议

• 数据的管理和分类

• 数据保留和备份

• 暗网评论

• API 密钥安全性

5网络安全性与漏洞管理

• 用于管理、监控和保护网络的安全控制措施。

• 漏洞管理

• 漏洞补救行动

• 网络隔离

6应用程序安全性

• 软件开发生命周期（含软件测试）

• 变更管理

7身份和访问管理

• 访问权限预配与取消预配

• 特权访问管理

• 远程访问

• 密码管理

8安全性监控与事件响应

• 日志管理

• 事故管理计划

9隐私

• 隐私监管要求管理

• 数据移动

• 安全意识培训

• 数据主体权利

10数据处理和管理

• 亚马逊数据生命周期的不同阶段

• 搜集与存储

• 访问

• 传输

11第三方集成

• 亚马逊数据与第三方的共享

• 数据共享流程与机制

12客户支持

• 卖家支持工具(CRM)

• 卖家支持流程与机制